terça-feira, 15 de abril de 2014

Olá, Ingresso.com lhe presenteou para Copa do Mundo 2014!



    Não é de hoje que cibercriminosos têm usado o tema “Copa do Mundo” para atrair cada vez mais vítimas, na semana passada analisei um artefato que apresentou algumas características novas e um pouco interessantes.

    A falsa promoção de ingressos para os jogos da Copa chega por email, ao clicar no link o usuário é direcionado para um domínio xxxxxxx.ec.cx, com um template falso do site ingresso.com:

Ao clicar no link para baixar o termo do contrato, o usuário efetua o download do arquivo 'GanhadorCopa2014RequerimentoPadrao.pdf.cpl', que na realidade é um trojan bancário.

 1. Execução:

Ao clicar sobre o arquivo, uma tela de erro é exibida informando que o arquivo está corrompido e não pode ser aberto:



Este recurso é utilizado por fraudadores com o intuito de levar o usuário a acreditar que nada fora do normal está sendo executado na sua máquina, no entanto, verificando o tráfego gerado pelo host infectado, é possível observar diversas requisições efetuadas após a execução do malware.


2. Características (debug):

O malware cria uma pasta no sistema "programdata" e efetua o download de 05 arquivos:

a.) "iustrymon.cpl" - rensponsável por efetuar alterações no registro do sistema operacional, uma destas alterações é o bloqueio de outros navegadores instalados no sistema:


A finalidade desta alteração é a de forçar o usuário a utilizar o Internet Explorer para navegação na web, se o usuário tentar abrir outros navegadores como Firefox ou Chrome, uma tela de erro é exibida:


b.) "wlancache.cpl" e "wlanwebeoIE.dll" - são feitos na linguagem delphi e possuem packer de proteção (Fake Ninja v2.0):



O "wlanwebeoIE.dll", insere um Keylogger no Internet Explorer, os dados digitados pelo usuário são enviados e armazenados no arquivo "wlancache.cpl" , o qual possui uma interface semelhante a um cabeçalho de email::



c.) "itype.exe" - O pulo do gato vem agora neste arquivo, o malware utiliza o software clickyesspro para alterar as configurações de segurança do Microsoft Outlook. 



Deste modo além de configurar quais aplicativos podem enviar e-mails automaticamente, sem o consentimento do usuário, ele também tem acesso aos endereços de e-mails armazenados no livro de endereços do Outlook, podendo enviar o trojan para outras vítimas;

3.) Tráfego Web:

O tráfego gerado pelo trojan é bem sucinto, não chamando muita atenção, das URL's observadas através do wireshark, foi possível observar o endereço de armazenamento dos emails capturados através de outras máquinas infectadas:


E o contador de infects, no qual o fraudador tem o controle de quantas máquinas foram infectadas pelo referido trojan, nele podemos observar a data da infecção, o nome da máquina, o sistema operacional e a versão do navegador (IE):

Para finalizar, temos o Keepalive do trojan, muitos fraudadores utilizam endereços da web, ex: google.com, msn.com, dentre outros..., para testar a conexão do host infectado com a web, este fraudador aqui adotou o tipo "ostentação", saca a imagem que aparece no keepalive:


Arquivo foi submetido ao site especializado VirusTotal, tendo um nível de detecção baixo: 12/51.

Até a próxima!!!









sexta-feira, 24 de janeiro de 2014

WhatsApp: a bola da vez - parte I



Recentemente, temos observado uma quantidade elevada de emails suspeitos com referência ao aplicativo WhatsApp, semana passada tivemos a ocorrência de emails que chegaram para diversos usuários com uma suposta versão para PC do aplicativo.

Na realidade, trata-se de um trojan (cavalo de Troia) do tipo Banker, o artigo completo sobre o evento acima, pode ser observado com maiores detalhes através do site Techtudo .


Hoje recebi outro email com características suspeitas referente ao aplicativo:
Desta vez, fazendo um alerta ao usuário sobre a confirmação do seu login no WhatsApp, caso o usuário não confirme o login, seu acesso ao aplicativo será bloqueado, ao clicar no link, é efetuado o download do arquivo "www.whatsapp.com":

terça-feira, 24 de julho de 2012

Madi Malware - Infecta via Engenharia Social

Depois das descobertas dos malwares Stuxnet e Flame, surge uma nova campanha de ataques de malwares direcionados a alvos especificos (empresas de infra-estrutura, serviços financeiros e embaixadas do governo).

O malware denominado de madi (nome vem do termo mahdi, que significa em
árabe: "O Guiado", é o redentor profetizado do Islã, que permanecerá na Terra por sete, nove ou dezenove anos antes da chegada do dia final), vem se proliferando se utilizando de técnicas de engenharia social.

O malware tenta se proliferar através de arquivos anexos vindos por e-mail, estes anexos vem com um arquivo no formato .ppt (power-point), como sendo um simples arquivo de apresentação de slides.


 Ao executa-lo no sistema, o malware inicia a apresentação com belas imagens e textos:


quinta-feira, 12 de julho de 2012

Análise Trojan - W32.Zbot (Drive-by download) Parte I


Zbot é uma detecção genérica para diversas famílias de trojans, tem como finalidade o roubo de dados e informações do usuário de um sistema infectado, se prolifera por e-mail (em anexos maliciosos), ou se instala através de algum site infectado da web (Drive-by_download), neste caso o trojan foi encontrado dentro de um site registrado no Brasil.



quarta-feira, 6 de junho de 2012

Análise Trojan Banker

Neste artigo farei uma análise detalhada de um malware curioso, este malware chega por e-mail como um suspoto vídeo porno, no formato ".src".



No Windows o formato (.src) tem o potencial de instalar vírus quando executados. A abertura de qualquer arquivo com o sufixo ".src", vindo por exemplo de um anexo de email, faz com que o Windows execute o arquivo automaticamente — permitindo com qual algum vírus ou malware se instale.

terça-feira, 29 de maio de 2012

Análise do Malware - Video erotico que caiu na rede da ex-BBB Renatinha, confira!

Recebi um email que vem circulando na net com o assunto, "Video erotico que caiu na rede da ex-BBB Renatinha, confira!":

Falso Aplicativo para o Facebook Infecta PC com Botnet Bredolab


Hoje encontrei em alguns fóruns da web, um possível link para um aplicativo do facebook, o referido aplicativo dizia descobrir quem visualizou suas fotos no seu perfil do facebook:


Efetuei o download do aplicativo e comecei a análise do mesmo, podemos observar que ele vem no formato SFX, um módulo SFX (sigla do inglês SelF-eXtrating) é um arquivo executável (.exe) criado pelo WinRAR a fim de facilitar a descompressão de arquivos. A descompressão se torna mais fácil porque não é necessário nenhum programa para fazer isto, o próprio arquivo já carrega um módulo que faz a descompressão.